Fail2ban определяет попытки доступа, но не банит, почему?

Question

[Ras]

Настроил на сервере fail2ban (впервые), программа определяет попытки логина , но не банит брутфорсера, что нет так в моих настройках?

часть лога:
2015-04-16 11:22:32,812 fail2ban.filter [3474]: INFO [postfix-sasl] Found 80.82.70.167
2015-04-16 11:30:42,402 fail2ban.filter [3474]: INFO [postfix-sasl] Found 80.82.70.167
2015-04-16 11:55:16,093 fail2ban.filter [3474]: INFO [postfix-sasl] Found 80.82.70.167
2015-04-16 12:00:52,503 fail2ban.filter [3474]: INFO [postfix-sasl] Found 80.82.70.167
2015-04-16 12:04:33,780 fail2ban.filter [3474]: INFO [postfix-sasl] Found 80.82.70.167
2015-04-16 12:36:57,682 fail2ban.filter [3474]: INFO [postfix-sasl] Found 80.82.70.167
2015-04-16 12:46:07,291 fail2ban.filter [3474]: INFO [postfix-sasl] Found 80.82.70.167
2015-04-16 13:13:21,146 fail2ban.filter [3474]: INFO [postfix-sasl] Found 80.82.70.167
2015-04-16 13:19:29,574 fail2ban.filter [3474]: INFO [postfix-sasl] Found 80.82.70.167
2015-04-16 13:23:32,866 fail2ban.filter [3474]: INFO [postfix-sasl] Found 80.82.70.167
2015-04-16 13:58:12,995 fail2ban.filter [3474]: INFO [postfix-sasl] Found 80.82.70.167
2015-04-16 14:07:15,640 fail2ban.filter [3474]: INFO [postfix-sasl] Found 80.82.70.167
2015-04-16 14:34:20,526 fail2ban.filter [3474]: INFO [postfix-sasl] Found 80.82.70.167
2015-04-16 14:40:29,958 fail2ban.filter [3474]: INFO [postfix-sasl] Found 80.82.70.167
2015-04-16 14:44:35,239 fail2ban.filter [3474]: INFO [postfix-sasl] Found 80.82.70.167

Файл настроек в jail.d :
[DEFAULT]
ignoreip = 127.0.0.1/8
bantime = 60000
findtime = 1800
maxretry = 3

[postfix-sasl]
enabled = true
port = smtp,465,submission,imap3,imaps,pop3,pop3s
# You might consider monitoring /var/log/mail.warn instead if you are
# running postfix since it would provide the same log lines at the
# "warn" level but overall at the smaller filesize.
logpath = %(postfix_log)s

Comments

[Ras]

Все разобрался,
[DEFAULT] удалить, настройки из него перенести в [postfix-sasl]

[Сергей]

action где в default?

[Сергей]

в версии 0.9.x они формат конфигов немного поменяли

[Ras]

Сергей: action я не переопределял, поэтому берется из файла jail.conf секция [DEFAULT] - раздел Actions

Answer 1

[Дмитрий]

а где action ?
fail2ban наверное просто не знает что ему делать, должно же быть что-то типа:
action = iptables[name=postfix, port=smtp, protocol=tcp]

Comments

[Ras]

Дмитрий, спасибо за комментарий, в комментариях к вопросу я описал, в чем была причина. Action отсутствуют в локальном конфиге, т.к. определены в глобальном.

Answer 2

[Александр Слыжук]

bantime = 60000 - на сколько секунд банить(тут 1000 минут или 16ч 40 мин, по моему многовато, сам не нарвешься на свой бан?)
findtime = 1800 - кол-во соединений (тут 30 минут)
maxretry = 3 кол-во ошибок

У меня в конфиге:
bantime = 14400
findtime = 600
maxretry = 3

В принципе по умолчанию все настройки корректные, только эти параметры правишь и перезапускаешь сервис:
sudo service fail2ban restart
Посмотреть работу: sudo fail2ban-client status ssh

У меня сейчас выглядит так(китайцы атакуют):
Status for the jail: ssh
|- filter
| |- File list: /var/log/auth.log
| |- Currently failed: 2
| `- Total failed: 14628
`- action
|- Currently banned: 7
| `- IP list: 222.186.56.101 59.29.245.226 221.229.166.27 62.193.242.207 61.160.212.27 87.106.129.233 62.210.6.254
`- Total banned: 3791

Comments

[Ras]

Прошу прощения, был уверен, что ответил на это сообщение. По времени бана - нормально, можно и больше , т.к. этот сервер мало используется снаружи , а в редких случаях могу вручную разбарить. Причину проблемы описал в комментарии к вопросу.